某加速器上号器携带的病毒
病毒样本地址:https://wws.lanzouj.com/iGD07jijpsj密码52pojie
这个是淘宝上买的某加速器,采用上号器登录
但是启动之后,我桌面上的excel表格全部被“格式化”了,启动就提示加载宏错误
然后我的c盘本来还剩二十多g,瞬间只有70mb了
希望大佬们分析分析,或者有没有什么解决办法 本帖最后由 Bool 于 2020-12-20 15:29 编辑
Hello,
通过Bitdefender的报毒粗略判断是Backdoor(后门)
描述露出了马脚,但暂时不能确定是Synaptics病毒。
上在线沙箱&Vt看一下。
VT:56/70 https://www.virustotal.com/gui/file/d8f7ce04076dd7989d608d1d157ec803eccd325a8e4abfe41334fb7b59a57f62/detection
且大多报毒名均为“Backdoor.Win32.DarkKomet”(此处采用卡巴斯基的标准报法),完全确定为“DarkKomet”(“暗黑彗星”木马),
具体介绍见 https://guanjia.qq.com/news/n3/2426.html(别听鹅厂吹牛逼)
Threatbook: https://s.threatbook.cn/report/file/d8f7ce04076dd7989d608d1d157ec803eccd325a8e4abfe41334fb7b59a57f62/?env=win7_sp1_enx86_office2013
AnyRun 由于文件过大无法上传QAQ
处置建议&TIPS:
删除自启动注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Synaptics Pointing Device Driver
删除文件
C:\tmp3ijdtl\._cache_dd助手-每次启动都点我.exe
%HOMEPATH%\AppData\Local\Temp\Og4p2KL8.ico
%HOMEPATH%\AppData\Local\Temp\LafL4NOn.ico
%HOMEPATH%\AppData\Local\Temp\Ms3NIkhh.ico
%HOMEPATH%\AppData\Local\Temp\39UrZ8Vi.ico
%HOMEPATH%\AppData\Local\Temp\IjF2FruU.ico
%HOMEPATH%\AppData\Local\Temp\gUh3s85V.ico
%HOMEPATH%\AppData\Local\Temp\Esm6Ets9.ico
%HOMEPATH%\AppData\Local\Temp\pqro2rfk.ico
C:\onerun.bat
C:\tmp3ijdtl\._cache_dd助手-每次启动都点我.exe
(By THREATBOOK)
1、换个杀软,卡巴斯基相当香
2、别人叫你关杀软的话,别理他
3、可疑文件不双击,可跑VT、Threatbook、Anyrun
4、开UAC提权
5、别碰外挂和淘宝上卖的破解货,论坛找很香
6、宏的问题,应该是病毒在office当中感染了宏吧
7、C盘的问题,可以用杀软扫一遍,再用CCleaner看一下?实在不行的话搜一下那个特别大的文件,或者看看修改日期为你感染那时的文件?
由此案例可见,是个杀软就能杀,
别人叫你关杀软
理都别他理他
上淘宝,然后投诉卖家!
(突然押韵了呢)
该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容,还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时,攻击者还可用被控制的电脑作跳板,对其它目标发起DDoS攻击。
(莫名害怕),但又在行为看来,反又不太像Backdoor了
新人第一次发病毒救援,
如有不妥之处,
还望管理人员提醒!
突然发现这是一个双重毒
又是Backdoor,还被Synaptics感染了。。。 Bool 发表于 2020-12-20 15:16
Hello,
通过Bitdefender的报毒粗略判断是Backdoor(后门)
感谢大佬! 我已经用了。
怎么办???话说有没有安全点的上号器? 有病毒敢用吗
页:
[1]